Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Första GDPR-rapporten

Efter första året med GDPR visar Datainspektionens rapport om anmälda personuppgiftsincidenter på en gemensam säkerhetsrisk i alla organisationer. Av de 2 262 anmälningar som gjorts ligger den mänskliga faktorn bakom mer än 60 procent.

Text anne hammarskjöld Foto adobestock 5 mars 2019 säkerhet

myller-av-ansikten.jpg

Samtidigt med GDPR infördes en skyldighet för organisationer som behandlar personuppgifter att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Sedan den 1 augusti har brottsbekämpande myndigheter motsvarande anmälningsskyldighet.

Anmälningsskyldigheten höjde kraven på alla verksamheter att ha rutiner på plats för att kunna upptäcka, rapportera och utreda incidenter. Målet är att höja integritetsskyddet. Datainspektionens rapport för perioden 25 maj-31 december 2018 visar att den absoluta merparten anmälningar gjordes utifrån GDPR, färre än tio gjordes utifrån brottsdatalagen.

Försäkringsbranschen i topp

En anmäld incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En sådan händelse kan innebära risker för identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.

Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte vara en indikation på bristande säkerhet enligt rapporten. I vissa fall kan det tvärtom tyda på att verksamheten har rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.

  • En fjärdedel av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen.
  • Myndigheter och kommuner står tillsammans för 23 procent av anmälningarna, det vill säga ungefär en fjärdedel.
  • Anmälningar från hälso- och sjukvård, skola och socialtjänst utgör tillsammans 23 procent.
  • Därutöver står näringslivet i övrigt för 19 procent.

Vanliga incidenter

Den största delen anmälda incidenter, 42 procent, avser obehörigt röjande i form av felaktiga brevutskick, det vill säga brev eller e-post som innehåller personuppgifter och oavsiktligt hamnat hos fel mottagare.

För omkring 100 incidenter gör Datainspektionen en fördjupad bedömning.

Datainspektionen

Obehörig åtkomst är den näst största kategorin och står för 23 procent. Här är ett vanligt exempel att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt.

Obehörigt röjande rör 20 procent av anmälningarna och innebär att personuppgifter kommit till obehörigas kännedom. Till exempel har mottagare av ett e-postmeddelande med känslig information kunnat se hela sändlistan.

Kategorierna stöld, förlust och phishing omfattar 13 procent av de anmälda incidenterna. Några exempel är tjänstedatorer som glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för phishing, malware eller hacking. Även om dessa incidenter är förhållandevis få berör de större grupper av registrerade.

Vanliga orsaker

Drygt sextio procent av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn. Vanliga orsaker är att individer gjort misstag vid hantering av personuppgifter och det handlar i första hand om felskickade brev och e-postmeddelanden.

Öppna inte länkar eller bifogade filer från okända avsändare.

Datainspektionen

Antagonistiska angrepp står för ungefär var sjunde anmälan. Totalt handlar det om drygt 300 av de anmälda incidenterna som primärt rör stölder och phishing.

Närmare en av tio anmälningar handlar också om brister i organisatoriska rutiner eller processer.

Datainspektionens rekommendationer

Utifrån de anmälningar som gjorts ger Datainspektionen några generella rekommendationer som kan bidra till att förebygga incidenter och mildra konsekvenserna om något ändå inträffar.

  • Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, använd funktionen dold kopia, bcc, vid utskick till flera mottagare, samt använd e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
  • Kryptera personuppgifter som lagras på usb-minnen, bärbara datorer eller andra flyttbara media som lätta att stjäla eller tappa bort.
  • Påminn medarbetarna om att inte öppna länkar eller bifogade filer från okända avsändare.
  • En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
  • Datainspektionen betonar att den stora andelen incidenter som uppges bero på den mänskliga faktorn bekräftar betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.

Merparten utan åtgärd

Datainspektionen bedömer att merparten av de incidentanmälningar som inkommit under 2018 kommer att avslutas utan ytterligare åtgärd. Hittills gäller det cirka 600 anmälningar.  

För de omkring 100 incidenter som bedöms som mer allvarliga gör Datainspektionen en fördjupad bedömning och handläggningen pågår.

Senaste nytt

Algoritm som artist

25 mars 2019

Första skivkontraktet med en algoritm har signerats. Warner Music har kommit överens med tyska appen Endel om att producera 20 album under 2019.

Spionage mot Sverige

25 mars 2019

Kina bedriver omfattande industriellt cyberspionage mot Sverige. Det skriver Totalförsvarets forskningsinstitut, FOI, i en ny rapport.

Första smarta roboten

22 mars 2019

Genom det nya KPAM-systemet så kan robotar identifiera, plocka upp och hantera föremål som den inte sett tidigare. Detta kan vara till stor hjälp på bland annat fabriker och ses som ett genombrott då robotar tidigare krävt förprogrammering.

Putins eget internet

22 mars 2019

En ny rysk lag kan komma att isolera landets Runet från resten av internet, för att på så sätt förhindra att information forsar ut och in genom Ryssland. Lagförslaget stöds av både Vladimir Putin och Moskvas lagstiftare. 

App öppnar it-branschen

21 mars 2019

Startupföretaget Imagilabs vill ge unga tjejer möjligheten att forma framtidens teknik. Nu tar Dora Palfi och Beatrice Ionascu kodning in i mobilen. Med deras app kan alla lära sig programmera utan förkunskaper.

Sveriges smartaste by

21 mars 2019

Nu startar Veberöd med knappt 5 000 invånare ett projekt för framtidens samhällsplanering. Målet är att testa nya lösningar för hållbar utveckling, minska klyftan mellan beslutsfattare och medborgare, och inspirera andra byar i Sverige och utomlands.